none
Windows 10 ProでローカルグループのAdministratorsに登録したユーザーが消えてしまう RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    1
    サインインして投票

    コミュニティで質問したところ、こちらの方が質問内容にふさわしいとのご指摘を

    頂きましたのでこちらで質問させて頂きます。

    ドメインに参加しているWindows 10 Pro上でドメインユーザーをローカルグループのAdministratorsに追加して後しばらく経つと再ログインした時にAdministratorsグループから登録したユーザーが消えてしまうという(つまり、対象のドメインユーザーの管理者権限が消えてしまう)現象が発生します。

    これと同様の現象に遭遇された方はいらっしゃるでしょうか?

    また、解決方法をご存知の方はいらっしゃるでしょうか?

    環境は以下の通りです。

    • ドメインコントローラー:Windows Server 2012 R2 Standard
    • ドメインメンバー :Windows 10 Pro バージョン1709

    2018年2月26日 2:39
    |

回答

  • Question
    サインインして投票
    2
    サインインして投票

    ActiveDirectory 側で、Administrators を対象とした「制限されたグループ」のグループポリシーを設定していませんか?

    その場合、Administrators のメンバーとして許可したユーザーしか Administrators 権限が認められませんので、ローカルで Administrators に許可されていないユーザーを追加しても、クライアントでグループポリシーが再適用 (既定では90分~120) されると、許可されていないユーザーは Administrators から削除されてしまいます。

     

    ActiveDirectoryのグループポリシーで以下のグループポリシーが設定されていないか確認してみて下さい。

     

    コンピューターの構成>ポリシー>Windows の設定>セキュリティの設定>制限されたグループ


    追記

    クライアント側で制限されたグループのグループポリシーが適用されているか確認する場合、以下のコマンドで適用されているグループポリシーのレポート (HTML形式) が出力されますので試してみて下さい。(コマンドは昇格したプロンプトから実行して下さい)

     

    Gpresult /H <ファイルパス>


    • 編集済み LapivyMVP 2018年2月26日 3:37 クライアント側確認方法の追記
    • 回答の候補に設定 チャブーンMVP 2018年2月26日 4:31
    • 回答としてマーク KadanWork 2018年2月27日 5:40
    2018年2月26日 3:30
    |

すべての返信

  • Question
    サインインして投票
    2
    サインインして投票

    ActiveDirectory 側で、Administrators を対象とした「制限されたグループ」のグループポリシーを設定していませんか?

    その場合、Administrators のメンバーとして許可したユーザーしか Administrators 権限が認められませんので、ローカルで Administrators に許可されていないユーザーを追加しても、クライアントでグループポリシーが再適用 (既定では90分~120) されると、許可されていないユーザーは Administrators から削除されてしまいます。

     

    ActiveDirectoryのグループポリシーで以下のグループポリシーが設定されていないか確認してみて下さい。

     

    コンピューターの構成>ポリシー>Windows の設定>セキュリティの設定>制限されたグループ


    追記

    クライアント側で制限されたグループのグループポリシーが適用されているか確認する場合、以下のコマンドで適用されているグループポリシーのレポート (HTML形式) が出力されますので試してみて下さい。(コマンドは昇格したプロンプトから実行して下さい)

     

    Gpresult /H <ファイルパス>


    • 編集済み LapivyMVP 2018年2月26日 3:37 クライアント側確認方法の追記
    • 回答の候補に設定 チャブーンMVP 2018年2月26日 4:31
    • 回答としてマーク KadanWork 2018年2月27日 5:40
    2018年2月26日 3:30
    |
  • Question
    サインインして投票
    0
    サインインして投票

    ご回答ありがとうございます。ご指摘の通り「制限されたグループ」が設定されていました。試しに「DOMAIN\User1」を「制限されたグループ」に追加し、ドメインメンバー側のホストで

    net localgroup Administrators DOMAIN\User1 /ADD

    net localgroup Administrators DOMAIN\User2 /ADD

    を実行してローカルグループのAdministratorsを登録したところ120分後には「DOMAIN\User2」がAdministratorsグループから削除され、「DOMAIN\User1」はメンバーに残っている事を確認しました。

    2018年2月27日 5:40
    |